As jy na die konfigurasie van enige firewall kyk, sal ons heel waarskynlik 'n blad sien met 'n klomp IP-adresse, poorte, protokolle en subnette. Dit is hoe netwerksekuriteitsbeleide vir gebruikerstoegang tot hulpbronne klassiek geïmplementeer word. Eers probeer hulle orde in die opstelling handhaaf, maar dan begin werknemers van departement tot departement beweeg, bedieners vermenigvuldig en verander hul rolle, toegang vir verskillende projekte verskyn waar dit gewoonlik nie toegelaat word nie, en honderde onbekende bokpaaie kom na vore.
Langs sommige reëls, as jy gelukkig is, is daar opmerkings "Vasya het my gevra om dit te doen" of "Dit is 'n gedeelte na die DMZ." Die netwerkadministrateur stop, en alles word heeltemal onduidelik. Toe besluit iemand om Vasya se konfigurasie skoon te maak, en SAP het neergestort, want Vasya het eenkeer vir hierdie toegang gevra om die gevegs-SAP te bestuur.
Vandag sal ek praat oor die VMware NSX-oplossing, wat help om netwerkkommunikasie- en sekuriteitsbeleide presies toe te pas sonder verwarring in firewall-konfigurasies. Ek sal jou wys watter nuwe kenmerke verskyn het in vergelyking met wat VMware voorheen in hierdie deel gehad het.
VMWare NSX is 'n virtualisasie- en sekuriteitsplatform vir netwerkdienste. NSX los probleme op van roetering, skakeling, lasbalansering, firewall en kan baie ander interessante dinge doen.
NSX is die opvolger van VMware se eie vCloud Networking and Security (vCNS) produk en die verkrygde Nicira NVP.
Van vCNS na NSX
Voorheen het 'n kliënt 'n aparte vCNS vShield Edge virtuele masjien gehad in 'n wolk gebou op VMware vCloud. Dit het gedien as 'n randpoort, waar dit moontlik was om baie netwerkfunksies op te stel: NAT, DHCP, Firewall, VPN, lasbalanseerder, ens. vShield Edge het die interaksie van die virtuele masjien met die buitewêreld beperk volgens die reëls gespesifiseer in die Firewall en NAT. Binne die netwerk het virtuele masjiene vrylik met mekaar gekommunikeer binne subnette. As jy regtig verkeer wil verdeel en oorwin, kan jy 'n aparte netwerk vir individuele dele van toepassings (verskillende virtuele masjiene) maak en die toepaslike reëls vir hul netwerkinteraksie in die firewall stel. Maar dit is lank, moeilik en oninteressant, veral as jy 'n paar dosyn virtuele masjiene het.
In NSX het VMware die konsep van mikro-segmentering geïmplementeer deur gebruik te maak van 'n verspreide firewall wat in die hipervisorkern ingebou is. Dit spesifiseer sekuriteit- en netwerkinteraksiebeleide, nie net vir IP- en MAC-adresse nie, maar ook vir ander voorwerpe: virtuele masjiene, toepassings. As NSX binne 'n organisasie ontplooi word, kan hierdie voorwerpe 'n gebruiker of groep gebruikers van Active Directory wees. Elke so 'n voorwerp verander in 'n mikrosegment in sy eie sekuriteitslus, in die vereiste subnet, met sy eie gesellige DMZ :).
Voorheen was daar net een sekuriteitsomtrek vir die hele poel hulpbronne, beskerm deur 'n randskakelaar, maar met NSX kan jy 'n aparte virtuele masjien teen onnodige interaksies beskerm, selfs binne dieselfde netwerk.
Sekuriteit- en netwerkbeleide pas aan as 'n entiteit na 'n ander netwerk skuif. Byvoorbeeld, as ons 'n masjien met 'n databasis na 'n ander netwerksegment of selfs na 'n ander gekoppelde virtuele datasentrum skuif, sal die reëls wat vir hierdie virtuele masjien geskryf is, voortgaan om van toepassing te wees ongeag die nuwe ligging daarvan. Die toepassingsbediener sal steeds met die databasis kan kommunikeer.
Die randpoort self, vCNS vShield Edge, is deur NSX Edge vervang. Dit het al die gentlemanlike kenmerke van die ou Edge, plus 'n paar nuwe nuttige kenmerke. Ons sal verder oor hulle praat.
Wat is nuut met die NSX Edge?
NSX Edge-funksionaliteit hang af van
brandmuur. Jy kan IP-adresse, netwerke, poortkoppelvlakke en virtuele masjiene kies as voorwerpe waarop die reëls toegepas sal word.
DHCP. Benewens die opstel van die reeks IP-adresse wat outomaties aan virtuele masjiene op hierdie netwerk uitgereik sal word, bied NSX Edge nou die volgende funksies: Binding и Relay.
In die blad Bindings Jy kan die MAC-adres van 'n virtuele masjien aan 'n IP-adres bind as jy die IP-adres nie moet verander nie. Die belangrikste ding is dat hierdie IP-adres nie by die DHCP-poel ingesluit is nie.
In die blad Relay herlei van DHCP-boodskappe is opgestel na DHCP-bedieners wat buite jou organisasie geleë is in vCloud Director, insluitend DHCP-bedieners van die fisiese infrastruktuur.
Roetering. vShield Edge kon slegs statiese roetering instel. Dinamiese roetering met ondersteuning vir OSPF- en BGP-protokolle het hier verskyn. ECMP (Active-active) instellings het ook beskikbaar geword, wat aktief-aktiewe failover na fisiese routers beteken.
Die opstel van OSPF
Die opstel van BGP
Nog 'n nuwe ding is die opstel van die oordrag van roetes tussen verskillende protokolle,
roete herverdeling.
L4/L7 Load Balancer. X-Forwarded-For is bekendgestel vir die HTTPs-kopskrif. Almal het sonder hom gehuil. Byvoorbeeld, jy het 'n webwerf wat jy balanseer. Sonder om hierdie kop aan te stuur, werk alles, maar in die webbedienerstatistieke het jy nie die IP van die besoekers gesien nie, maar die IP van die balanseerder. Nou is alles reg.
Ook in die Toepassingsreëls-oortjie kan jy nou skrifte byvoeg wat verkeersbalansering direk sal beheer.
Skynprivaatnetwerk. Benewens IPSec VPN, ondersteun NSX Edge:
- L2 VPN, waarmee u netwerke tussen geografies verspreide werwe kan strek. So 'n VPN is byvoorbeeld nodig sodat die virtuele masjien in dieselfde subnet bly en sy IP-adres behou wanneer daar na 'n ander webwerf beweeg word.
- SSL VPN Plus, wat gebruikers in staat stel om op afstand aan 'n korporatiewe netwerk te koppel. Op die vSphere-vlak was daar so 'n funksie, maar vir vCloud Director is dit 'n innovasie.
SSL-sertifikate. Sertifikate kan nou op die NSX Edge geïnstalleer word. Dit kom weer by die vraag wie 'n balanseerder nodig gehad het sonder 'n sertifikaat vir https.
Groepering van voorwerpe. In hierdie oortjie word groepe voorwerpe gespesifiseer waarvoor sekere netwerkinteraksiereëls sal geld, byvoorbeeld brandmuurreëls.
Hierdie voorwerpe kan IP- en MAC-adresse wees.
Daar is ook 'n lys van dienste (protokol-poort kombinasie) en toepassings wat gebruik kan word wanneer firewall reëls geskep word. Slegs die vCD-portaaladministrateur kan nuwe dienste en toepassings byvoeg.
Statistieke. Verbindingstatistieke: verkeer wat deur die poort, firewall en balanseerder gaan.
Status en statistieke vir elke IPSEC VPN en L2 VPN tonnel.
Tekening. In die Edge Settings-oortjie kan u die bediener instel om logs op te neem. Logging werk vir DNAT/SNAT, DHCP, Firewall, roetering, balanseerder, IPsec VPN, SSL VPN Plus.
Die volgende tipes waarskuwings is beskikbaar vir elke objek/diens:
— Ontfout
— Waarskuwing
– Kritiek
- Fout
— Waarskuwing
— Kennisgewing
— Inligting
NSX Edge Afmetings
Afhangende van die take wat opgelos word en die volume van VMware
NSX Edge
(Kompakte)
NSX Edge
(Groot)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
vCPU
1
2
4
6
Memory
512MB
1GB
1GB
8GB
Skyf
512MB
512MB
512MB
4.5GB + 4GB
Aanstelling
Een
toepassing, toets
data sentrum
Klein
of gemiddeld
data sentrum
Gelaai
firewall
Balansering
vragte op vlak L7
Hieronder in die tabel is die bedryfsstatistieke van netwerkdienste, afhangende van die grootte van NSX Edge.
NSX Edge
(Kompakte)
NSX Edge
(Groot)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
Interfaces
10
10
10
10
Sub-koppelvlakke (stam)
200
200
200
200
NAT reëls
2,048
4,096
4,096
8,192
ARP-inskrywings
Tot oorskryf
1,024
2,048
2,048
2,048
FW Reëls
2000
2000
2000
2000
FW prestasie
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP swembaddens
20,000
20,000
20,000
20,000
ECMP-paaie
8
8
8
8
Statiese roetes
2,048
2,048
2,048
2,048
LB swembaddens
64
64
64
1,024
LB virtuele bedieners
64
64
64
1,024
LB-bediener/swembad
32
32
32
32
LB Gesondheidsondersoeke
320
320
320
3,072
LB Aansoekreëls
4,096
4,096
4,096
4,096
L2VPN-kliënte-hub om te praat
5
5
5
5
L2VPN-netwerke per kliënt/bediener
200
200
200
200
IPSec tonnels
512
1,600
4,096
6,000
SSLVPN tonnels
50
100
100
1,000
SSLVPN Privaat netwerke
16
16
16
16
Gelyktydige sessies
64,000
1,000,000
1,000,000
1,000,000
Sessies/Tweede
8,000
50,000
50,000
50,000
LB Deurset L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB-deurset L4-modus)
6Gbps
6Gbps
6Gbps
LB-verbindings/s (L7-instaanbediener)
46,000
50,000
50,000
LB gelyktydige verbindings (L7-instaanbediener)
8,000
60,000
60,000
LB-verbindings/s (L4-modus)
50,000
50,000
50,000
LB gelyktydige verbindings (L4-modus)
600,000
1,000,000
1,000,000
BGP Roetes
20,000
50,000
250,000
250,000
BGP Bure
10
20
100
100
BGP-roetes herverdeel
No Limit
No Limit
No Limit
No Limit
OSPF Roetes
20,000
50,000
100,000
100,000
OSPF LSA Inskrywings Max 750 Tipe-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF-roetes herverdeel
2000
5000
20,000
20,000
Totale roetes
20,000
50,000
250,000
250,000
→
Die tabel toon dat dit aanbeveel word om balansering op NSX Edge te organiseer vir produktiewe scenario's wat slegs vanaf die Groot grootte begin.
Dis al wat ek het vir vandag. In die volgende dele gaan ek in detail deur hoe om elke NSX Edge-netwerkdiens op te stel.
Bron: will.com